Single Sign On 101

SSO 101: 身份认证/单点登录 简介

身份认证/单点登录基本使用场景

2b使用场景

SSO出现之前,问题的由来:

  1. 员工从入职的第一天起, IT管理员/HR会分配一个身份: johndoe/password
  2. johndoe在日常的办公中,需要校验用户名/密码的场景很多,johndoe不可避免的需要:
    • 访问企业邮箱
    • 访问代码库,文档库,HR系统,OA系统,财务系统等众多部署在公司内部的,不同软件厂商提供的办公软件
    • 访问部署在公有云上的SaaS软件服务
    • 远程办公通过VPN接入公司网络
  3. 公司在慢慢壮大
    • 逐渐引入了更多的系统,这些系统通常都是由不同软件厂商提供
    • 越来越多的员工加入
  4. 在SSO出现之前,这些软件/网络接入系统都是各自独立管理用户的身份,即信息孤岛.
    • 同一个用户johndoe在不同系统中的用户名可能叫johndoe1, johndoe2, johndoen
    • 同一个用户在各个系统的密码不一样, 员工要记住各种各样的用户名/密码
    • 用户johndoe需要同时记住n多个用户名/密码,并且登录n次
    • IT管理员经常接到电话:我的密码忘记了,帮我重置一下
    • 当新员工入职的时候,IT管理员需要在各个系统中创建用户,离职的时候删除用户
    • 安全隐患: 良莠不齐的第三方软件厂商无法更加专业/安全的方式保护员工信息.

SSO带来的解决方案包括,

  1. 提供一个”中心化的身份认证体系”,统一集中管理员工/合作伙伴/外包员工等的身份
  2. 各种软件/网络设备系统, 通过标准的SSO登录协议,来对接”中心化的身份认证体系”,从而:
    • 减轻IT管理员/员工的负担
    • 享受”输入一次密码,全部登录”带来的便捷
    • 更安全的集中统一管理入口,审计入口
  3. 统一身份认证系统通常具备的功能包括:
    • 用户身份的统一管理: 员工从入职到离职的生命周期管理
    • 统一管理密码策略
    • 用户自服务功能
    • 更安全的用户身份校验
    • 多种多样的身份校验方式
  4. 安全审计
  5. 标准化
    • 认证协议标准化
    • 用户管理标准化

2c场景

  1. Social Network:
    • 经常看到某网站提供这样的功能: 使用微信/Weibo/Facebook/Github登录

延伸使用场景和概念

五花八门的认证方式

  • 生物特征认证: 扫脸/指纹/眼红膜
  • 多因子认证
  • 二维码认证
  • 证书认证
  • SIM卡认证
  • 实体身份 VS 电子身份

True SSO

企业内,员工的身份/密码/证书等统一集中存储和管理, 可以做到各个环节内的全方位sso

  • VPN接入,校验员工身份
  • Wifi接入,校验员工身份(Guest Wifi也可以给访客颁发临时密码,而不是用固定的密码)
  • 门禁/打印机等IT办公设备,校验身份
  • SSH登录,校验员工身份
  • 使用部署在企业内的办公软件时,校验身份
  • 使用云端的SaaS软件时,用同一套身份体系来校验身份
  • 移动办公,校验员工身份

架构图

Identity as a Service (IDaaS)

伴随着近年来云计算的推广,越来越多的企业或多或少的在尝试公有云,私有云,混合云,云的发展也将带动SaaS软件的发展。可以大胆预言在不久的将来,大家一定会更加注重云的安全,尤其是混合云的安全.

“身份认证”是任何安全防护的第一道防线,不管哪种场景都是如此. 比如:混合云接入企业内网,VPN接入,访问一个Web应用,WIFI的接入,打卡进入办公区域, SSH登录虚拟机,校园一卡通. 第一件事情就是要验明正身.

这就给IDaaS厂商带来了商机, 从而给用户带来真正True SSO的用户体验:

  1. 越来越多的企业都在跟风公有云,私有云,混合云
  2. 逐渐接受SaaS服务
  3. 移动化的驱动

Zero Trust

主打Enterprise Security:

  • Trusted User
  • Trusted Device
  • Trusted Application
  • Trusted Network

There is an address for every grain of sand

  • 不是只有人才有身份
  • Mobile Device/Application/Things

技术原理简介

术语介绍

  • IAM: Identity Access Management
  • 4A(5A): Authentication,Authorization,Audit,Accounting,Application
  • IDP: Identity Provider
  • SP: Service Provider
  • Identity
  • SSO: Single Sign On
  • IDaaS: Identity as a Service
  • MFA: Multi Factor Authentication
  • OIDC/OAuth, SAML, Kerberos, Radius, FIDO
  • Token,Ticket,Assertion,ID Token

技术架构

建立在一个中心化的信任体系架构之上(Trust). 举个公安局颁发身份证的例子,

  1. 公安局作为一个权威机构,充当一个”中心化的身份认证体系”,即IDP的角色: 它负责给所有居民颁发/校验”身份证”.
  2. 每个居民充当User的角色: 需要在公安局统一登记注册. 公安局颁发的”身份证”充当着Identity的角色
  3. 每个居民可以携带”身份证”这个Identity到酒店住店,到火车站坐火车. 酒店/火车站充当着Service Provider的角色
  4. 酒店/火车站在给User提供服务的时候,需要验明你的Identity. 即酒店/火车站需要Trust公安局这个权威机构颁发的身份证

从”身份证”延伸出来的其他各种Identity包括:

  • 电子身份证
  • 电子证书体系
  • 微信号(政府把微信号当成是”信用体系”的一部分,所以你的微信号就是你的身份)
  • 你的脸,你的指纹,你的眼红膜
  • 你的SIM卡: 电信运营商是一个”中心化的身份认证体系”

产业现状

  1. 总体来讲,国内外的主流厂商都在主打IDaaS(SaaS化)的概念
  2. 并在往IOT的领域进行延伸
  3. 有些还挂上了大数据的概念
  4. Enterprise Security方向

知名厂商

  1. 国外厂商
  2. 国内厂商
  3. 国内外云厂商有相关产品线
    • 京东云正在研发这个
    • AWS的cognito以及iam产品都不错
    • Oracle
    • Microsoft AZure
    • IBM

最近融资

Gartner分析

  • Strategic Planning Assumption

    By 2022, identity and access management as a service (IDaaS) will be the chosen delivery model for more than 80% of new access management purchases globally, up from 50% today

  • Market Definition/Description

    Access management applies to technologies that use access control engines to provide centralized authentication, single sign-on (SSO), session management and authorization enforcement for target applications in multiple use cases (e.g., B2E, B2B and B2C). Target applications may have traditional web application architectures, native mobile architectures or hybrid architectures. Increasingly, target systems include APIs. Smart or constrained devices with or without human operators may be incorporated as well. Applications may run on the customers’ premises or in the cloud

去中心化的区块链身份体系

2c的应用场景

??

2b应用场景面临的挑战

  1. 中心化 && 去中心化的集成和过渡 ??
Tags:sso   Tags:IDaaS
Written on October 11, 2018